IATF 16949新版标准条文中很多地方都提到产品安全内容,其中与电子产品及软件相关的要求如下:
我们知道目前汽车电子研发中,流程相关的要求很多。TS16949早已路人皆知,ISO26262也深入人心,CMMI方面很多企业也进行了成功尝试,随着AutomotiveSPICE流程要求的广泛应用,相信未来汽车行业必将迎来多模型,多种流程协调统一的开发模式
届时,开发一套既符合主流多种类开发流程要求,又能符合企业自身现状,模块化,易维护,易拓展的流程模型,或将相对于开发产品行为本身更受重视。
相关标准要求的简介如下
道路车辆功能安全标准ISO 26262,源于电子、电气及可编程电子系统的功能安全标准IEC 61508,为开发汽车安全相关系统提供了指南。
汽车上电子、电气系统数量不断增加,其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等都是安全相关系统,当系统出现故障,系统必须转入安全状态或者转换到降级模式,避免系统功能失效而导致人员伤亡。ISO 26262标准的目的是使得企业对安全相关功能有一个更好的理解,同时为避免风险提供了可行性的要求和流程。
ISO 26262为汽车安全引入了生命周期理念(管理、开发、生产、经营、服务、报废),涵盖功能性安全方面的整体开发过程(包括需求规划、设计、实施、集成、验证、确认和配置)。ISO 26262 不仅有助于满足欧盟市场相关新能源汽车法规(如 ECE-R100)中对功能安全方面的要求,还能更加顺利应对国内可能出台的汽车功能安全要求(国家GB/T标准目前处于征求意见稿阶段)。
ISO 26262标准中对系统做功能安全设计时,前期重要的一个步骤是对系统进行危害分析和风险评估,识别出系统的危害并且对危害的风险等级---ASIL等级(AutomotiveSafety Integration Level汽车安全完整性等级),其中D级为最高等级。ASIL等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应开发成本增加、开发周期延长、技术要求严格。
在国内,长安新能源已经于上个月正式获得国内第一张新能源电控ISO26262产品认证证书,和国内第一张ISO26262流程认证证书。随着业内对可靠性设计的重视程度逐渐加大,ISO26262相关的设计能力,也将成为汽车电子研发人员必备技能之一。
Automotive SPICE(简称A-SPICE)是汽车行业的SPICE(软件过程改进和能力测定标准)标准用于欧洲主机厂对供应商进行软件过程评估。
ASPICE分为0~5级:
0级是不完整级;
1级为已执行级,主要特征是达到了所评价过程的产出要求;
2 级为已管理级,主要特征是收集了过程执行的数据,能评价过程的绩效,同时工作产品进行了相应的配置管理;
3 级为已建立级,主要特征是定义了企业的标准过程且制定了裁剪规则,企业标准过程能根据项目的实际场景裁剪成项目的过程,并在项目中执行;
4 级为可预测级,主要特征是过程的执行按量化的标准去度量,且能根据度量结果去控制项目的进展;
5 级为优化级,主要特征是企业能从项目执行中收集数据,并优化过程,并持续进行过程改进。
ASPICE认证过程一般分为差距分析、过程定义、过程实施、建立工具链、预评估和正式评估等步骤。大众、宝马、奔驰、保时捷等汽车主机厂均已经通过了ASPICE 认证,同时它们要求自己的供应商必须通过ASPICE 认证。
嵌入式是一种专用的计算机系统,作为装置或设备的一部分。通常嵌入式系统是一个控制程序存储在ROM中的嵌入式处理器控制板。所有带有数字接口的设备,如手表、微波炉、录像机、汽车等,都使用嵌入式系统,有些嵌入式系统还包含操作系统,但大多数嵌入式系统都是是由单个程序实现整个控制逻辑。如果能在系统设计之初考虑广泛使用的嵌入式系统的安全问题,可减少系统的安全维护工作。
安全分析有二种分析方法:潜在失效模式及后果分析分析(FailureMode and Effect Analysis, FMEA)和故障树分析(Failure Tree Analysis, FTA)。安全性分析是对因果关系的探讨,“因”即引起安全问题的原因,而“果”是潜在风险。FMEA和嵌入式应用FMEA是一种可靠性设计的重要方法。它实际上是FMA(故障模式分析)和FEA(故障影响分析)的组合。
它对各种可能的风险进行评价、分析,以便在现有技术的基础上消除这些风险或将这些风险减小到可接受的水平。FTA及其嵌入式应用FTA也是一种用来分析安全性和可靠性问题的技术,与FMEA分析方法不同,FTA从所有可能的事件开始,并围绕事件的结果做工作。FTA是用图示的方法直接从已确定安全事件(处于树的顶层)开始,反向找出问题发生的原因。
嵌入式系统安全的三个层次:嵌入式系统安全要综合考虑物理层、平台层以及应用层三个方面。
物理层。嵌入式系统物理层的安全问题比较容易解决。就系统本身而言,根据系统的工作环境,在设计目标和设计要求时选择符合相关标准的器件,进行规范化设计和施工就可以了。但从整个行业规范来看,由于网络系统的脆弱性,致使电子通信的可靠性下降,而市场对安全信任的需求又越来越迫切,促使一些大型IT公司决定共同解决这个课题。
平台层。据统计,现有嵌入式产品中,4位机没有使用操作系统的实例,8位机约有30%使用了操作系统,而16位机以上的嵌入式产品带有操作系统的占了70%以上。嵌入式操作系统的规模一般都比较小,不少产品开放了源码,使得操作系统本身几乎是透明的,不会存在“后门”的情况。但由于嵌入式操作系统受到系统规模的限制,不可能像WindowsXP SP2那样使用过多的安全措施。其主要作用还是隔离硬件层,便于产品开发和维护。
应用层。传统的保证数据安全的方法是对数据进行加密传输。不少嵌入式处理器处理数据的能力不高,浮点运算能力不强,若要提供实时的数据加解密运算,处理器的速度往往不能胜任。根据系统要求,优先选择开销小的安全协议和算法,或者由硬件来实施加解密算法。